У меня очень много времени на поиск этого, но я почти уверен, что делал это раньше (десяток лет назад), и я знаю, что другие приложения делают это, например, procmon. Я хочу отслеживать определенный вызов API или несколько вызовов и видеть, кто их совершает. В частности, RegSetValue и RegSetValueEx. Я подключил системный хук к WH_CALLWNDPROC и могу отвечать на звонки других приложений и отслеживать их приложение, поэтому у меня есть имя приложения, но я не знаю, какие звонки они делают.
Итак, сейчас я получаю обратный звонок. Обратный вызов CallWndProc получает структуру CWPSTRUCT, в которой есть сообщение #, но я не совсем уверен, к чему его приравнять, когда это вызов API, а не вызов сообщения. Я могу посмотреть процесс и получить имя процесса, узнать, что был сделан какой-то вызов, и посмотреть параметры, но какой это был фактический вызов, я не уверен, как определить. Например, как мне определить его как RegSetValue, а не, скажем, LoadLibrary?
Что мне здесь не хватает?